版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
目
录第一章
研究背景
...............................................................
1一、
检测引擎
..................................................................................1二、
检测依据
..................................................................................2三、
检测内容
..................................................................................2四、
数据范围
..................................................................................3第二章
违规收集个人信息分析.........................................
4一、
违规收集个人信息
APP分类情况
...........................................4二、
无提示收集个人信息检出率情况
...........................................5三、
无提示收集个人信息类型分布情况........................................5四、
高频次收集个人信息情况分析
...............................................7五、
违规个人信息收集者分析
.......................................................8第三章
总结与建议...........................................................10一、
影响评估
................................................................................10二、
总结&建议
..............................................................................10附录
奇安信病毒响应中心
...............................................11附录
奇安信病毒响应中心移动安全团队.........................12附录
奇安信移动安全产品介绍........................................13附录
名词解释..................................................................14第一章
研究背景随着互联网和移动设备的发展,手机已成为人人都拥有的设备,其中各式各样的
APP更是丰富了人们的生活,从社交到出行、从网购到外卖,从办公到娱乐等,APP已成为大众生活必需品,但也因此暴露出
APP收集个人信息的风险。为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围组织开展
APP违法违规收集使用个人信息专项治理。2023年度,奇安信病毒响应中心共收录全国应用市场新收录新更新
APP近
80万个。本报告依据《工业和信息化部关于开展
APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337
号文件、《工业和信息化部关于开展纵深推进
APP
侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件和《APP违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信完全自主研发安卓动态引擎
QADE(后文统称奇安信QADE引擎)对
2023年年应用市场新收录新更新的头部主流
APP抽样检测。该检测主要是为了评估当下
APP侵害用户权益的问题,并提供相应的技术支持和参考。一、
检测引擎本次检测采用奇安信
QADE引擎。奇安信
QADE引擎是首款既支持对
APP进行传统恶意检测,并支持对违规收集个人信息及索取权限检测等
APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是
APP侵害用户权益问题中比较常见且影响较深的问题。1二、
检测依据此次
APP收集个人信息检测,我们参考了以下相关的国家法律法规作为检测标准依据:
《网络安全法》
《电信和互联网用户个人信息保护规定》
《GB/T35273-2020信息安全技术个人信息安全规范》
《工业和信息化部关于开展
APP
侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号)
《工业和信息化部关于开展纵深推进
APP
侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
《APP违法违规收集使用个人信息行为认定方法》三、
检测内容在对
2023年度应用市场新收录的
APP抽查发现,存在相当部分
APP在未经用户同意就开始收集用户个人信息,个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验,并且严重侵害了用户个人隐私。所以,我们根据《工业和信息化部关于开展
APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164
号文件、《关于开展纵深推进
APP
侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的
APP进行检测,此次
APP收集个人信息检测,我们使用了奇安信
QADE引擎对以下侵害用户权益的检测内容进行自动化检测:
违规收集个人信息:21.
无提示收集个人信息检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。2.
高频次收集个人信息检测存在按频率(每百秒的收集次数)收集用户个人信息。四、
数据范围检测周期为
2023年
1月
1日至
2023年
12月
31日应用市场的新收录新更新数据,主要来源于
34
个应用市场,其中应用数量最多的分别是华为应用市场、360手机助手应用市场和豌豆荚应用市场。3第二章
违规收集个人信息分析一、
违规收集个人信息
APP分类情况本次检测到的违规收集个人信息问题的
APP中,生活休闲和网上购物的
APP违规占比最高,分别占比
18.5%和
12.0%。存在违规收集个人信风险的
APP类型分布具体情况可见下图:4二、
无提示收集个人信息检出率情况在本次检测抽检的头部主流
APP中,发现
34262个
APP存在无提示收集个人信息,占比
4.3%。纵观
2023年上半年和下半年的检出情况,下半年的检出率(2.0%)较上半年检出率(5.9%)稍呈下降趋势。具体分布如下图所示:三、
无提示收集个人信息类型分布情况根据《GB/T
35273-2020
信息安全技术个人信息安全规范》中的个人信息内容定义,奇安信
QADE
引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有
4个。其中主要为个人常用设备信息
Android
ID,其次i为个人常用设备信息
IMEIii、个人常用设备信息
MAC
地址iii和个人常用设备信息
Serial
Numberiv;同时,我们还发现存在个别APP还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。在此次
2023
年度检测中,APP
无提示收集信息类型排名前四的依次为:Android
ID(占比
73.9%)、IMEI(占比
58.5%)、MAC地址(占比
34.6%)以及
Serial
Number(占比
27.3%)。具体5APP无提示收集个人信息的类型及占比分布如下图所示:从
2023年上半年和下半年来看,Android
ID、IMEI、MAC地址和
Serial
Number
这四类无提示收集个人信息的
APP
占比在逐步减少。其中
Android
ID从
76.5%下降到
65.6%,占比下降了10.9个百分比,IMEI下降了
10.8个百分比。MAC地址占比下降最多,下降了
15.8个百分比。从不同类型无提示收集信息的
APP在上半年和下半年的占比情况来看,占比最大的无提示收集信息类型始终是
Android
ID,其次为
IMEI和
MAC地址。具体分布如下图所示:6四、
高频次收集个人信息情况分析本文中,我们将一百秒内,单个
APP收集个人信息次数大于等于
2次的行为定义为存在“高频次收集个人信息”问题。2023
年度检测中,违规收集个人信息的
APP
中有
58.8%的APP还存在高频次收集个人信息,高频次收集个人信息情况依然较为严重,下半年高频次收集个情况和上半年相比情况稍好,下半年高频次收集下降了
13.6个百分比。其中最高一款
APP在短短一百秒对个人信息
IMEI收集了
440次。高频次收集个人信息主要还是集中在
Android
ID、IMEI和MAC地址中,在收集
Android
ID和
IMEI的
APP中,平均每个
APP都收集了至少
4次。本次检出的高频次收集个人信息的
APP中,大部分
APP高频次收集次数主要集中在
2~5
次,占比
65.5%,其次是
6~10
次占比
20.0%和
11~20次占比
8.8%,超过
20次的占比也达到了
5.7%。详细分布可见图表:7五、
违规个人信息收集者分析本次检测到的违规收集个人信息问题的
APP中,有
74.4%的APP包含了第三方
SDK收集情况。下半年和上半年相比,第三方SDK收集情况并无太大变化。这意味着当前多数
APP自身不存在违规收集个人信息行为,主要还是集成了第三方
SDK后而造成的APP出现违规收集个人信息问题。在本次
2023
年度检测中,在违规收集个人信息第三方
SDK中,排名靠前的
SDK都为市场知名
SDK,其中一知名
SDK占比高达
23.2%,具体分布如图:8本次检测到的包含第三方
SDK违规收集个人信息问题的
APP中,大部分
APP都是由于集成了一款违规
SDK而导致违规,这部分占比
71.2%,少部分
APP集成至少两款违规收集个人信息的第三方
SDK,占比
28.8%。具体占比情况如图:9第三章
总结与建议一、
影响评估此次检测到侵犯用户权益的
APP中(存在违规收集个人信息),我们发现其中有
21
款
APP
下载量在亿次以上,有
111
款APP下载量在千万次以上,183款
APP
下载量在百万次以上。可见
APP侵害用户权益问题的影响面非常广,至少影响到上亿用户。二、
总结&建议从
2023
年度检测的结果来看,在国家相关的法律法规下,今年侵害用户权益
APP
的检出率较低,整体趋势处于下降趋势;但从侵害用户权益
APP的下载量来看,影响面仍较广,这也代表该问题仍需要继续保持治理。在此次检测的发现的主要问题,虽有一部分
APP是自身产生的违规收集个人信息情况,但更多的是由于集成了第三方
SDK导致。因此我们也建议一方面第三方
SDK厂商在整改后,在如何更好的引导
APP开发者按新版按要求更快速更便捷的进行升级解决做的更好,在做好自己的这个点的同时,也能和
APP开发者这个上游点能联动形成一条安全线。另一方面
APP开发者也要有相应的个人信息安全意识,按照国家法律法规,不进行违规收集个人信息。10附录
奇安信病毒响应中心奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的
QOWL和
QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。11附录
奇安信病毒响应中心移动安全团队奇安信病毒响应中心移动安全团队一直致力移动安全领域及
Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。团队结合自研
QADE
引擎和高价值移动端攻击发现流程已捕获到多起移动攻击事件,并发布了多篇移动黑产报告,对外披露了多个
APT组织活动。近四年来已首发披露五个全新
APT组织(诺崇狮组织
SilencerLion、利
刃鹰组织
BladeHawk、艾叶豹组织
SnowLeopard、金刚象组织VajraEleph和沙猁猫组织
Caracal
Kitten)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。12附录
奇安信移动安全产品介绍奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 内蒙古自治区赤峰市翁牛特旗2024年中考二模历史试题(无答案)
- 爱国主义教育演讲稿
- 挑战12作图题(电学综合27题)(解析版)-2022年中考物理真题《压轴挑战》分类汇编
- 人教版七年级下册地理期中试卷二
- 承揽合同中的复制合同范本
- 2023年“教师节”营销活动方案-1
- “互联网+”背景下周至猕猴桃营销模式创新研究
- 《第4单元 表内乘法(一):5的乘法口诀》教案(附导学案)
- 食品行业技能鉴定考试:粮油保管员学习资料(题库版)
- 执业兽医资格考试基础科目分类模拟16
- 中国的民族融合与多元文化
- 大学生兼职平台创业策划书
- 梅尼埃病个案护理
- 沉香商业计划书
- 喉癌外科治疗
- 家庭教育宣传做智慧家长讲座家庭教育家长会课件
- a3书法纸模板文档
- 改革开放与中国经济的崛起
- 分数百分数应用题复习课
- 神经科护士的基本职责与技能
- 电力电子技术在航空航天中的应用简介
评论
0/150
提交评论